NTFS 格式存儲設(shè)備數(shù)據(jù)恢復(fù)方法研究

徐國天

（中國刑事警察學(xué)院網(wǎng)絡(luò)犯罪偵查系，沈陽110854）

恢復(fù)存儲器中被刪除的文件是一種非常重要的技術(shù)方法[1]。目前現(xiàn)有數(shù)據(jù)恢復(fù)軟件主要有Final Data、encase 和取證大師等幾種，但在實(shí)際應(yīng)用中我們發(fā)現(xiàn)這些軟件存在一個問題，即某些文件被刪除之后，通過分析我們發(fā)現(xiàn)這些文件大部分?jǐn)?shù)據(jù)仍然殘留在硬盤內(nèi)，但是現(xiàn)有軟件卻無法成功恢復(fù)。本文深入研究了3 種NTFS 存儲設(shè)備數(shù)據(jù)恢復(fù)方法，即通過NTFS 日志文件（$LogFile）、殘留的MFT 記錄和文件頭部存儲特征值來完成恢復(fù)。NTFS 日志恢復(fù)方法基于中國刑警學(xué)院課題組自行開發(fā)軟件測試，另兩種方法基于Final Data 軟件測試。。

1 通過NTFS 日志文件完成恢復(fù)

NTFS 日志文件是NTFS 為實(shí)現(xiàn)可恢復(fù)性和安全性而設(shè)計的。當(dāng)系統(tǒng)運(yùn)行時，NTFS 就會在日志文件中記錄所有影響NTFS 卷結(jié)構(gòu)的操作，包括文件的創(chuàng)建和改變目錄結(jié)構(gòu)的命令，從而在系統(tǒng)失敗時能夠恢復(fù)NTFS 卷。通過$LogFile 元文件可以提取出刪除痕跡，進(jìn)而完成刪除文件的恢復(fù)。

1.1 測試通過$LogFile 元文件恢復(fù)

這里使用中國刑警學(xué)院課題組自行開發(fā)的NTFS文件系統(tǒng)日志檢驗(yàn)分析軟件對NTFS 格式存儲設(shè)備的日志文件進(jìn)行檢驗(yàn)分析，獲取被刪除文件的相關(guān)信息，主要包括文件名稱、文件創(chuàng)建時間、文件修改時間、最后一次MFT 記錄變化時間、最后一次文件訪問時間、文件大小、文件的覆蓋率、文件數(shù)據(jù)的存儲位置，根據(jù)以上信息恢復(fù)被刪除文件。

圖1 為應(yīng)用NTFS 日志檢驗(yàn)分析軟件從NTFS日志中提取出的3 組刪除痕跡，每組刪除痕跡之間用一個空行分隔，以第1 組刪除痕跡為例進(jìn)行說明。……